パスワードスプレーとクレデンシャルスタッフィングには多くの共通点がありますが、主な違いは攻撃が実行される方法です。 クレデンシャルスタッフィングでは、サイバー犯罪者はすでに検証済みのログイン認証情報を手にしています。一方でパスワードスプレーでは、サイバー犯罪者はユーザー名のリストを一般的に使用されるパスワードと一致させることによりログイン認証情報を推測する必要があります。
ここでは、パスワードスプレーとクレデンシャルスタッフィング、その違いと、これらの攻撃から身を守る方法について、さらに詳しく説明します。
サイバー攻撃に強い安全なログイン情報管理をしませんか?
Keeperの14日間の無料体験でその利便性をお試しください。
パスワードスプレーとは
パスワードスプレーは、サイバー犯罪者が一般的に使用されるパスワードと検証済みのユーザー名のリストを、一致するまで組み合わせることを繰り返す総当たり攻撃の一種です。 パスワードスプレーでは、サイバー犯罪者は、異なるアカウント間で同じパスワードを使用することで、ログイン試行の制限やアカウントからの締め出しを回避できます。 これらは、脆弱で予測が可能なパスワードを使用してオンラインアカウントを保護しようとするなど、不適切なパスワード習慣を実践するユーザーにつけ込みます。
パスワードスプレーは、サイバー犯罪者がオンラインディレクトリやダークウェブ、あるいは他のオープンソースからユーザー名のリストを取得することから始まります。 サイバー犯罪者は、一般的に使用されるパスワードのリストを収集し、自動プログラムを実行して、できるだけ多くが一致するまで、パスワードを選択してリスト上のユーザー名と組み合わせていきます。 サイバー犯罪者は、ユーザー名のリストと最初のパスワードを確認した後、同じユーザー名のリストと異なるパスワードでプロセスを繰り返します。
クレデンシャルスタッフィングとは
クレデンシャルスタッフィングは、別の種類の総当たり攻撃であり、サイバー犯罪者が検証済みのログイン認証情報を盗んだり購入し、それらを使用して複数のアカウントへのアクセスを試みるものです。 サイバー犯罪者は、複数のアカウントでの同じパスワードの再利用を当てにします。Keeperの2022年米国パスワード慣行レポートでは、ユーザーの56%がパスワードを再利用していることにより、クレデンシャルスタッフィングが有効であることが示されています。
サイバー犯罪者は、データ漏洩や過去のサイバー攻撃、あるいはダークウェブから一連のログイン認証情報を取得することがよくあります。 サイバー犯罪者の手に検証済みのログイン認証情報が渡ると、彼らは自動ツールを使用して複数のプラットフォームでログイン認証情報を入力し、それらのアカウントへのアクセスを得ます。 サイバー犯罪者は、ログイン認証情報を少し変えたバリエーションを使用してユーザーの他のアカウントへのアクセスを得ることもあります。
パスワードスプレーとクレデンシャルスタッフィングの違い
パスワードスプレーとクレデンシャルスタッフィングは、どちらも総当たり攻撃の1つであり、ユーザーに悪影響を及ぼす可能性があります。 パスワードスプレーとクレデンシャルスタッフィングが成功すると、サイバー攻撃者がユーザーのアカウントを自らの利益のために使用するためのコントロールを得るアカウント乗っ取りにつながることがあります。 サイバー攻撃者は、被害者の個人識別情報(PII)を手にして、それらを使用し個人情報の盗難やその他の詐欺行為を行います。
しかし、パスワードスプレーとクレデンシャルスタッフィングは、不正アクセスの獲得方法に違いがあります。 クレデンシャルスタッフィングでは、サイバー犯罪者はすでに検証済みのログイン認証情報を手にしており、それらを使用して1人のユーザーの複数のアカウントへのアクセスを得ます。 パスワードスプレーでは、ログイン認証情報がなく、一般的に使用されるパスワードとユーザー名のリストを一致させることでそれらを推測する必要があります。 パスワードスプレーでは、1人だけをターゲットにするのではなく、複数のユーザーを攻撃します。
パスワードスプレーとクレデンシャルスタッフィングから身を守る対策と方法
パスワードスプレーとクレデンシャルスタッフィングは、良好なパスワード衛生を実践することで容易に防ぐことができます。パスワード衛生とは、パスワードのセキュリティを維持するためのベストプラクティスと習慣です。 以下は、パスワードスプレーとクレデンシャルスタッフィングを防ぐことのできるいくつかの方法です。
強力でユニークなパスワードを使用する
パスワードスプレーは、脆弱で予測可能なパスワードを使用してオンラインアカウントを保護しているユーザーにつけ込みます。 パスワードスプレーでパスワードを推測できないようにするには、強力なパスワードを使用してオンラインアカウントを保護する必要があります。 強力なパスワードとは、最低16文字の大文字と小文字、数字、および特殊文字をランダムに組み合わせたものです。 個人情報、連続した数字や文字、または辞書に掲載されている一般的な単語は使用しないようにします。
クレデンシャルスタッフィングは、複数のアカウント間でパスワードを再使用するユーザーを当てにします。 サイバー犯罪者がクレデンシャルスタッフィングを使用してアカウントへのアクセスを獲得するのを防ぐためには、それぞれのアカウントにユニークなパスワードを使用し、パスワードの再使用を避ける必要があります。 強力でユニークなパスワードをオンラインアカウントごとに使用することで、クレデンシャルスタッフィングとパスワードスプレーの両方を防ぐことができ、サイバー犯罪者がパスワードを解読しにくくなります。
MFA を有効にする
多要素認証(MFA)は、追加の認証形式を提供する必要があるセキュリティプロトコルです。 アカウントへのアクセスを得るには、ユーザーはログイン認証情報と、時間ベースのワンタイムパスワード(TOTP)などの少なくとも1つの追加の検証形式を提供する必要があります。 MFAは、さらなるセキュリティレイヤーを追加し、許可されたユーザーのみがアカウントにアクセスできることを確実にします。 ログイン認証情報が漏洩しても、サイバー犯罪者はアカウントにアクセスできません。アカウントはMFAによって保護されており、彼らはその他の認証情報を持たないためです。
パスワードマネージャーにパスワードを保存する
パスワードマネージャーは、パスワードをデジタル暗号化ボルトに安全に保存し、管理するツールです。 パスワードマネージャーを使用することで、すべてのパスワードを追跡し、それらにいつでもアクセスすることができます。 デジタルボルトは複数の暗号化レイヤーで保護されており、強力なマスターパスワードでのみアクセスできます。 また、パスワードマネージャーは、脆弱なパスワードや再利用されているパスワードを特定し、内蔵されたパスワードジェネレーターを使用してそれらを強化するようユーザーに促すことで、それぞれのパスワードが保護されるよう保証します。
ダークウェブモニタリングツールに投資する
サイバー犯罪者は、ダークウェブでログイン認証情報を見つけ、それらをパスワードスプレーやクレデンシャルスタッフィング攻撃に使用することがあります。 パスワードスプレーとクレデンシャルスタッフィングを防ぐためには、ダークウェブ監視ツールに投資するべきです。
ダークウェブモニタリングは、ダークウェブをスキャンし、ログイン認証情報などの特定の個人情報を監視するツールです。 ダークウェブ監視ツールは、漏洩した情報を見つけると、ユーザーに警告し、サイバー犯罪者がそれを使用して不正アクセスを得る前にパスワードを変更するなどの措置を取るよう促します。
ログインが試行された時の通知をオンにする
不正ユーザーがアカウントへのアクセスを試みていることを検出するには、アカウントのログイン試行の通知をオンにするべきです。 これらの通知は、誰かがあなたのアカウントにログインしようとしたり、不明なユーザーがあなたのアカウントにログインしたりするたびにアラートを発します。 これは、サイバー犯罪者が何らかの総当たり攻撃を使用して攻撃していることを警告し、即座に行動を取れるようにするものです。
サイバー脅威に関する知識をつける
サイバー犯罪者は、さまざまなサイバー攻撃を使用してログイン認証情報を盗み、それらを利用してパスワードスプレーやクレデンシャルスタッフィングを実行します。 サイバー犯罪者が使用するさまざまなサイバー攻撃について知識をつけ、それらを認識して回避する必要があります。
サイバー犯罪者は、フィッシングを使用してユーザーを騙し、ログイン認証情報を明らかにさせることがよくあります。 彼らは、悪意のある添付ファイルや、正当な会社など身近なものになりすましたリンクを添付したメールやテキストメッセージを送付します。 ユーザーがリンクをクリックすると、デバイスにマルウェアがインストールされたり、なりすましウェブサイトに誘導されたりします。 なりすましウェブサイトは、ユーザーにログイン認証情報を提示するよう促します。
まとめ:Keeper®でパスワードを保護してサイバー攻撃対策を
パスワードスプレーとクレデンシャルスタッフィングは、脆弱なパスワードや再利用したパスワードを使用するユーザーに悪影響を及ぼす可能性があります。 しかし、これらは、ユーザーが強力でユニークなパスワードやMFAを有効にすることでオンラインアカウントを保護することで、簡単に回避できます。 平均的なユーザーは、約20個のパスワードを持っており、それらを記録する必要があります。 各アカウントごとに強力でユニークなパスワードを自分で管理することは非常に困難です。 アカウントを最も適切に保護するには、パスワードマネージャーを使用するべきです。
Keeperパスワードマネージャーは、ゼロトラストおよびゼロ知識であり、あなたの個人情報へのアクセスはあなただけが持つことを保証します。 Keeperを使用することで、あらゆるデバイス間でパスワードを簡単に管理し、KeeperFillによりログインを簡素化できます。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。